VEEAM-CONSOLE

De Wiki_DR13
Révision datée du 4 août 2023 à 17:14 par Alexis.pages (discussion | contributions) (Script OutADSetup)
Aller à : navigation, rechercher

Renseignements principaux

  • VEEAM-CONSOLE
  • 10.13.102.113/24
  • Console d'administration de Veeam Backup & Replication
  • virtualisée sur cluster VMware (voir infos VCenter)

Accès au serveur

  • En RDP pour les utilisateurs de la Veeam Console en utilisant leur compte username.vc et un OTP fortitoken
  • En console sur le vCenter avec le compte administrateur (identifiants dans KeePassX du campus, sur Mars) et un OTP fortitoken (au coffre)

Accès restreint en RDP aux IP des administrateurs de la solution.

En cas de dysfonctionnement des VM FortiAuthenticator, la connexion reste possible pendant 7j :

  • 1. Sélectionner le domaine "."
  • 2. La mention Offline Tokens apparaît alors suivie de la date d'expiration des tokens offline
  • 3. Se connecter normalement en renseignant login, mot de passe et OTP

Connexion à la Veeam Console

L'administration de Veeam Backup & Replication en passant par la Console Veeam nécessite un compte username.vbr.

/!\ La Veeam Console met ~ 1 min 45 à démarrer.

Pour extraire un fichier restauré via la Console, il est nécessaire d'activer le partage d'un dossier avec RDP.

 Maintenance

Mises à jour

La Veeam Console doit être mise à jour après le serveur Veeam Backup & Replication.

Veeam fournit un fichier ISO permettant de procéder à la mise à jour de la Console à cette adresse : https://www.veeam.com/download-version.html

Script OutADSetup

Le script se trouve dans le dossier Documents du répertoire personnel du compte administrateur de la machine. Il permet de configurer les éléments suivants :

  • Utilisateurs locaux
  • Entrées DNS
  • Règles FW
  • Stratégie de sécurité locale
  • Stratégie AppLocker
  • SWMB
  • Nom d'hôte
  • RDP
  • FAC Agent
  • Agent WAPT

Pour connaître les options disponibles, entrer : 

OutADSetup -?

Il est accessible sur Mars dans S\SSI\Machines_hors_AD

Ajout d'un utilisateur

1. Utiliser le script OutADSetup avec l'option -Users pour :

  • Créer un compte local avec un login username.vc et un mot de passe fort (64 caractères avec minuscules, majuscules, chiffres et caractères spéciaux)
  • Ajouter l'utilisateur aux groupes Utilisateurs du Bureau à distance et Veeam Console
  • Ajouter une règle de firewall autorisant le RDP vers la Veeam Console depuis l'IP du futur administrateur

2. Ajouter ces 3 tâches programmées en copiant celles d'un utilisateur existant et en adaptant la section Utiliser le compte d'utilisateur suivant pour exécuter cette tâche :

  • Kill Veeam Console - username
  • Start Veeam Console - username
  • Restart Veeam Console - username

3. Créer l'utilisateur sur la VM FortiAuthenticator en lui assignant un OTP fortitoken.

4. Utiliser le script OutADSetup avec l'option -Users sur le serveur Veeam Backup & Replication pour :

  • Créer un compte local avec un login username.vbr et un mot de passe fort (64 caractères avec minuscules, majuscules, chiffres et caractères spéciaux)
  • Ajouter l'utilisateur au groupe Veeam Backup Administrators

Configuration Réseau

Pare-feu

En entrée :

  • Ping depuis VLAN SSI
  • RDP depuis les IP des des administrateurs de la Veeam Console
  • F-secure
  • Protocoles relatifs à Veeam

En sortie :

  • FortiAuthenticator
  • Activation License KMS
  • Proxy F-secure
  • Ports de la Veeam Console
  • WAPT
  • F-Secure
  • Protocoles relatifs à Veeam

DNS

Fichier hosts comprenant les noms d'hôtes suivants :

  • linwapt.ad.dr13.cnrs.fr
  • proxy-fsecure.dr13.cnrs.fr
  • veeam.ad.dr13.cnrs.fr

Configuration logicielle

WAPT

Les mises à jour Windows Update sont assurées par WAPT.

Les paquets suivants sont installés via WAPT :

  • Disable IPv6
  • Fsecure
  • Firefox
  • FAC Agent

Installation manuelle

La Veeam Console est installée manuellement sur la machine.

Politique de sécurité

Stratégie locale de sécurité

Voir fichier secpol-custom.ps1 pour de plus amples informations sur la stratégie locale de sécurité appliquée.

AppLocker

La stratégie AppLocker est définie pour restreindre l'exécution des programmes aux utilisateurs de la Veeam Console. Ces derniers n'ont accès qu'à l'explorateur de fichiers et aux exécutables Veeam.

SWMB

Une tâche programmée SWMB est exécutée toutes les heures pour s'assurer de la bonne application des mesures de sécurité supplémentaires appliquées à la machine (voir fichier Preset OutAD-Server).

RDP

En cas d'inactivité, la session RDP est déconnectée au bout de 10 minutes.

Lors de la déconnexion d'une session utilisateur, cette dernière reste ouverte durant 1 minute.

Une tâche programmée tue l'ensemble des processus Veeam dès la déconnexion pour éviter de les laisser ouverts durant cette minute.

Récupérée de « https://wiki.dr13.cnrs.fr/wiki/index.php?title=VEEAM-CONSOLE&oldid=10575 »